人机验证陷阱：ClearFake恶意软件诱导用户自我入侵

一款设计缜密的恶意软件攻击活动，正将常规的安全验证步骤变为入侵陷阱。Expel 安全研究团队发布分析报告指出，名为ClearFake的恶意软件框架通过伪造人机验证验证挑战，诱导用户亲手攻陷自身设备。该恶意软件结合 **“就地取材” 攻击手法 ** 与区块链技术的不可篡改特性，已进化为一款极具规避性的网络威胁。
攻击始于遭遇入侵的恶意网站，访问者会看到伪造的人机验证弹窗，要求完成真人验证。但与常规点击交通信号灯等验证操作不同，用户会收到一系列诡异的操作指令：按下Win+R组合键，接着按下Ctrl+V，最后按下回车键。

对于不了解网络安全的普通用户而言，这看似是一套复杂的验证流程，实则是名为ClickFix的社会工程学诱骗手段。
报告中解释道：“伪造的人机验证挑战借助社会工程学手段，诱导访问者安装恶意软件。” 当用户按下 Win+R 时，Windows 系统的运行对话框会被打开；按下 Ctrl+V 则会将网站悄悄复制到剪贴板中的恶意 PowerShell 命令粘贴至对话框，按下回车后命令便会执行。
最新版本 ClearFake 的高明与危险之处，核心在于其恶意代码的执行方式。攻击者并未直接运行易触发杀毒软件警报的脚本，而是采用了一种名为代理执行的技术手段。
他们利用 Windows 系统目录C:\Windows\System32下的一款合法系统文件SyncAppvPublishingServer.vbs实施攻击。该文件原本用于同步 App-V 应用环境，却存在命令注入漏洞。
分析报告指出：“近期，该攻击活动采用了更具规避性的手段，例如借助代理执行技术，通过 Windows 系统的可信功能运行 PowerShell 命令。”
通过滥用这款受信任的系统组件，攻击者能以 **“隐藏模式”** 启动 PowerShell，让整个感染过程对用户完全不可见。且由于相关操作均源自 Windows 可信系统文件，多数安全产品无法第一时间将其标记为恶意行为。
ClearFake 最难以根除的特点，当属其传播分发方式。该攻击活动采用以太隐藏技术，将恶意载荷直接托管在币安智能链（BSC） 上。
报告称：“由于区块链具有不可篡改的特性，这些恶意智能合约根本无法被删除。”
攻击者利用原本用于非同质化代币等 Web3 技术的智能合约，存储经 Base64 编码的恶意 JavaScript 代码。受害者设备中的恶意软件会通过公共应用程序编程接口端点查询智能合约，以此获取恶意载荷。这一方式为攻击者提供了 **“难以被下架的恶意软件托管渠道”**，因为只有加密钱包的所有者才能对合约进行修改。
为进一步规避检测，该攻击活动还转而使用主流内容分发网络jsDelivr托管部分恶意代码。报告表示，这一做法 **“大幅限制了依赖标记恶意域名和 IP 地址开展防护的安全产品的作用”**，因为封禁这一主流内容分发网络，会导致无数合法网站的访问受到影响。
此次攻击活动的影响规模十分庞大。研究人员通过分析涉事智能合约的交易记录估算，自 2025 年 8 月以来，已有近15 万台设备遭到感染。
正如 Expel 的分析报告所总结的：“该攻击活动设计极为缜密，规避性极强”，它将社会工程学诱骗与高级技术漏洞利用相结合，成功绕过了各类现代网络防护体系。

来源：securityonline